® 
Watering Hole Aanval
Definitie
Een watering hole-aanval is een gerichte aanval waarbij cybercriminelen websites infecteren die vaak worden bezocht door de beoogde slachtoffers. De aanvallers wachten tot slachtoffers de besmette website bezoeken.
Een watering hole-aanval is een gerichte cyberaanval waarbij aanvallers websites infecteren die regelmatig worden bezocht door de beoogde slachtoffers, in afwachting tot die slachtoffers de besmette website bezoeken. De naam verwijst naar roofdieren die bij een drinkplaats wachten op prooi.
Hoe werkt een watering hole-aanval?
De aanvaller identificeert websites die populair zijn bij het doelwit: brancheportalen, vakwebsites, leveranciersites of specialistische forums. Vervolgens compromitteert de aanvaller de website via een kwetsbaarheid in het CMS, de webserver of een plugin. Op de gecompromitteerde pagina wordt kwaadaardige code geplaatst die bezoekers infecteert via drive-by downloads, browserexploits of social engineering. De malware kan selectief worden afgeleverd: alleen bezoekers uit specifieke IP-ranges of organisaties worden getarget, wat de detectiekans verlaagt.
Voorbeelden van watering hole-aanvallen
De aanval op de website van de Polish Financial Supervision Authority (2017) richtte zich op medewerkers van banken. De Havex-campagne compromitteerde websites van industriele besturingssysteemleveranciers om OT-omgevingen te infiltreren. APT-groepen zoals APT10 en OceanLotus gebruiken watering hole-aanvallen regelmatig als onderdeel van spionagecampagnes.
Impact voor organisaties
Watering hole-aanvallen zijn bijzonder moeilijk te detecteren omdat de besmette website een legitieme, vertrouwde bron is. Medewerkers bezoeken de site in het normale werkproces en worden geinfecteerd zonder verdachte acties te ondernemen. De aanval kan zero-day-exploits gebruiken die nog onbekend zijn. NIS2 verplicht organisaties tot adequate webbeveiliging en threat monitoring.
Bescherming
Houd browsers en plugins altijd up-to-date om bekende exploits te voorkomen. Gebruik browser sandboxing en web content filtering. Implementeer DNS-filtering die bekende kwaadaardige domeinen blokkeert. Monitor uitgaand verkeer op verdachte verbindingen na websitebezoek. Network Detection and Response (NDR) kan afwijkend verkeer detecteren. Threat intelligence identificeert gecompromitteerde websites.
Hoe DEFION helpt
DEFION monitort via Managed Threat Intelligence op indicatoren van gecompromitteerde websites die relevant zijn voor de sector van de klant. Het SOC-team detecteert verdacht verkeer dat kan wijzen op een watering hole-infectie.